全面风险管理与内部控制管理标准

1、全面风险管理与内部控制管理标准全面风险管理与内襦撬新簪H标IIWORD：档，可编辑修改】范围本标准规定了攀钢集团有限公司全面风险管理与内部控制的组织机构与职 责、管理内容与要求、检查与考核等。本标准适用于攀钢集团有限公司及所属各子（分）公司、直属单位、托管 单位。子（分）公司、直属单位、托管单位可直接引用或转化为本单位管理标 准，在转化过程中应保持公司统一设置的管理控制流程和过程控制基本规则。 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日 期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的 修改单）适用于本文件。国资发改革2006108号

2、 中央企业全面风险管理指引财会20087 号 企业内部控制基本规范财会201011号 企业内部控制应用指引、企业内部控制评价指引、企业内部 控制审计指引国资发评价201268号 关于加快构建中央企业内部控制体系有关事项的通知 鞍钢政发201359号鞍钢集团公司全面风险管理与内部控制管理办法（暂行） 鞍钢政发201375号鞍钢集团公司内部控制评价管理暂行办法 术语、定义与缩略语下列术语、定义与缩略语适用于本标准。公司指攀钢集团有限公司。各单位指公司下属各子（分）公司、直属单位和托管单位。XX 管理部门公司规定的某项管理职能的主管部门。各单位对上述部门的确定和调整按 相应的职责管理规定执行。风险指

3、未来的不确定性对公司实现经营目标的影响。一般分为战略风险、财务风 险、市场风险、运营风险、法律风险等；也可以能否为公司带来盈利等机会为 标志，分为纯粹风险和机会风险。全面风险管理 指公司围绕总体经营目标，通过在公司管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包 括风险管理策略、风险管理措施，以及构建风险管理组织职能体系、风险管理 信息系统和内部控制系统，从而为实现风险管理总体目标提供合理保证的过程和方法。内部控制指公司董事会、监事会、管理层和全体员工为了保证公司战略目标的实现，针 对公司各项业务管理及其重要业务流程，通过执行风险管理基本流

4、程，制定并 执行的规章制度、程序和措施。内部控制规范体系指企业内部控制基本规范及其配套指引的规定和其他内部控制监管要求。组织机构与职责公司全面风险管理与内部控制的组织体系主要包括公司董事会、监事会、经理 层、全面风险管理与内部控制管理部门、审计部门、其他各职能管理部门及各 单位。公司董事会是公司全面风险管理与内部控制工作的最高决策机构，对公司全面 风险管理与内部控制的建立健全和实施的有效性负责，主要履行以下职责： 决定全面风险管理与内部控制体系；审批全面风险管理与内部控制工作年度计划；审批公司全面风险管理报告及内部控制评价报告，认定公司内部控制重大缺陷 并实施整改；确定公司全面风险管理与内部控

5、制总体目标、风险偏好、风险承受度，批准风 险管理策略和重大风险管理解决方案；了解和掌握公司面临的各项重大风险及其内部控制现状，做出有效控制风险的 决策；批准重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制； 批准重大决策的风险评估报告； 批准风险管理与内部控制监督评价的审计报告;督导公司风险管理文化的培育；其他有关公司全面风险管理与内部控制的重大事项。公司董事会下设风险控制与审计委员会，具体办理董事会授权的全面风险管理与内部控制相关事项。公司监事会是公司全面风险管理与内部控制监督机构，对公司建立与实施全面风险管理与内部控制进行监督，主要履行以下职责：a) 监督董事会、经理层建立完

6、善全面风险管理与内部控制体系；b) 监督董事会、经理层正确履行全面风险管理与内部控制职责；c) 审核公司年度全面风险管理报告及内部控制评价报告；d) 监督公司内部控制缺陷整改。公司经理层负责组织领导公司内部控制的日常运行和全面风险管理的日常工作，就全面风险管理与内部控制的有效性向董事会负责，主要履行以下职责：a) 组织建立全面风险管理与内部控制体系；审批全面风险管理与内部控制制度；审核公司全面风险管理与内部控制年度工作计划；审核公司内部控制评价报告及全面风险管理报告，认定公司内部控制重要缺陷并实施整改；提出公司重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制等风险管理相关建议；审

7、核风险管理与内部控制监督评价的审计报告；审批专项风险报告；公司经理层成立以总经理为组长、副总经理为副组长、各职能管理部门 负责人为成员的全面风险管理与内部控制领导小组，具体办理在公司授 权范围内的全面风险管理与内部控制相关事项。公司管理创新部门是公司全面风险管理与内部控制建设和评价的归口管理部门，对公司总经理委托授权的全面风险管理与内部控制主管领导负责，主要履行以下职责：a) 研究提出公司全面风险管理与内部控制体系建设方案、管理制度、规划 及年度计划；组织开展年度风险评估及应对工作，负责对风险评估结果汇总分析，对其他职能管理部门和单位开展的风险评估提供指导和支持；根据风险评估结果，提出风险管理

8、策略和内部控制调整建议，组织协助相关部门制定重大风险应对方案；对年度风险管理与内部控制工作情况进行评估，编制公司全面风险管理报告和内部控制手册；为公司各职能部门管理重大风险提供专业支持，组织协调跨部门的风险管理事宜，对专项风险评估报告进行合规性审查，对公司重大风险管理提出意见。；组织开展对公司重要业务流程的内部控制及重大风险的日常监控与专项调查；对重大风险管理策略和解决方案的制定、执行和效果情况进行监督检查；负责组织实施公司内部控制评价，提出内部控制评价报告；负责组织实施内部控制缺陷整改；公司审计部门、纪检监察部门是公司全面风险管理与内部控制的日常监督部门，主要履行以下职责：a) 将风险管理与

9、内部控制纳入审计和纪检监察范围，对公司全面风险管理与内部控制的有效性进行日常监督检查和评价；b) 结合内部审计和纪检监察日常工作，揭示公司内部控制缺陷和重大风险并按照工作程序进行报告；c) 负责组织提出揭示的内部控制与风险管理设计与运行缺陷的整改方案，并对整改方案执行进行监督检查。公司财务部门是聘请会计师事务所对公司开展内部控制审计的主管部门，主要履行以下职责：a) 负责签署协议确定公司内部控制审计会计师事务所和内部控制评价机构；b) 协调会计师事务所开展公司内部控制审计和评价；c) 向内部控制主管部门提供内部控制审计和评价情况。公司董事会办公室是公司全面风险管理与内部控制信息披露管理部门，主

10、要履行以下职责：a) 负责收集有关公司全面风险管理与内部控制工作相关的董事会议案；b) 负责公司全面风险管理与内部控制信息披露。公司各职能管理部门是本专业管理和业务范围内的风险管理与内部控制责任主 体和实施主体，主要履行以下职责：a) 研究提出本专业管理范围内的风险管理模式、制度建设、管理流程，制 定控制目标，评估流程主要风险点，确定关键控制点，制定风险防范和 控制措施。研究提出本专业管理范围内的重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制并对本专业范围内涉及的重大风险作出判断；研究提出本专业重大决策的风险评估报告；研究提出本专业重大及重要风险管理策略与解决方案，建立风险预警

11、机制，做好风险的日常监控工作，制定和适时启动应急预案；负责建立和完善本专业管理范围的内部控制体系，对本专业的管理体系实施管理评审和自我评价。完成日常风险信息报送、年度风险辨识和评估，向风险管理部门提供专业的风险管理信息。接受风险管理部门的组织、协调、指导和监督。各单位主要履行以下职责：a) 制定本单位的全面风险管理与内部控制规章制度，建立健全组织体系；研究提出本单位重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制；研究提出本单位的重大决策风险评估报告，撰写本单位年度全面风险管理报告；建立健全本单位的内部控制系统，编制内部控制手册；研究本单位关键风险预警指标，做好风险的日常监控工作

12、； 向公司风险管理部门提供风险管理信息和报送相关材料。负责培育本单位风险管理文化;管理流程管理流程图见附录A。管理内容与要求公司全面风险管理与内部控制实行“统一领导、分类分级”的管理模式和“业务谁主管、风险谁负责”的管理原则。即：全面风险管理与内部控制工作由公司统一领导，公司各职能管理部门负责本专业管理和业务范围内的风险管理与内部控制，各单位在公司管理层级权限范围内负责本单位全面风险管理与内部控制。公司全面风险管理与内部控制工作主要包括以下内容：内部环境、风险评估、风险控制、风险监控及报告、重大风险事件应对、内部监督与改进、风险文化建设等。内部环境6.1.1 内部环境包括公司治理结构、内部机构

13、设置及权责分配、发展战略、人力资源政策、内部审计、社会责任和企业文化等。公司及具有独立法人资格的子公司，应根据国家有关法律法规和公司章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。不具备独立法人资格的分公司、直属单位，应按照公司管控模式，建立决策机构和管理机构，明确权责分工。公司应结合业务特点和内部控制要求，设置内部机构，明确职责权限，将权利与责任落实到各部门和单位。公司应对现实状况和未来趋势进行综合分析和科学预测，制定并实施发展目标 和战略规划。公司应制定和实施有利于企业可持续发展的人力资源政策，将职业道德修养和专业胜任能力作为

14、选拔和聘用员工的重要标准，并加强员工培训和后续教育。公司应设置内部审计机构，结合内部审计监督，对公司风险管理与内部控制的有效性进行监督检查。公司经营发展过程中，应在安全生产、产品质量、环境保护、资源节约、促进就业、员工权益保护，以及供应商、客户（消费者）、股东和债权人权益保护、公共关系和社会公益事业等方面履行社会责任和义务。6.1.2 公司有关部门及各单位根据鞍钢集团公司对区域子公司的管控模式，按照企业内部控制基本规范及其第1 号至第 5 号应用指引规范性要求，就内部环境相关内容进行梳理，制定管理制度并认真贯彻实施，为公司风险管理与内部控制提供组织保证、制度约束，营造良好的风险管理与内部控制环

15、境。风险评估6.2.1 风险评估是在信息收集的基础上根据公司内外部环境的变化，对公司所面临的与实现控制目标相关的内部和外部风险进行风险辨识、风险分析和风险评价，包括对公司各项管理制度、各项经营发展计划、经营与投资方案等的事前风险评估。6.2.2 公司建立风险管理初始信息收集与积累机制。公司各部门、各单位按照中央企业全面风险管理指引、企业内部控制基本规范、企业内部控制应用指引中风险管理初始信息收集范围及应当关注的风险因素，广泛、持续不断地收集与本部门、本单位风险管理相关的内、外部风险初始信息，包括历史数据和未来预测，并把收集风险初始信息的职责 分工落实到具体工作岗位。筛选、对比、提炼，规范各专业

16、风险名称和定义，对风险进行分类分级，并对其具体表现进行分析描述，逐步建立和及时更新维护本部门、本单位风险信息库。6.2.3 公司每年年初定期组织开展一次年度全面风险评估，确定年度影响公司 战略、经营目标实现的重大、重要风险。6.2.4 公司建立重大事项专项风险评估机制。 “三重一大”范围内事项，事项提出部门或单位应进行专项风险评估，起草专 项风险评估报告，充分揭示风险和应对措施，经公司业务主管部门审查和风险管理职能部门程序性合规审核后，作为议案一部分提交公司公司决策机构审议；国家对相关行业明确提出需要做专项风险评估的事项，应按照国家规范性要求提出专项风险评估报告。6.2.5 风险评估实行动态管

17、理，公司及各单位应在经营环境发生变化、战略规 划及经营目标调整时，同步开展风险评估工作。风险的控制6.3.1 风险管理策略 公司风险管理部门结合公司的发展战略，拟订公司风险管理战略和重大风险的管理策略，报公司主管领导审核后送公司董事会审批。各单位应结合本单位实际制定本单位风险管理战略和重大风险管理策略。公司风险管理部门和各单位应定期总结和分析已制定的风险管理策略的有效性和合理性，结合实际不断修订和完善，重点检查依据风险偏好、风险承受度和风险控制预警线制定的风险策略实施结果是否有效。风险管理解决方案是风险管理策略分解落实到具体风险的管理措施, 内容一般包括 : 风险管理的具体目标, 风险监控指标

18、、指标的目标值和里程碑事件的完成时间，风险事件发生前、中、后所采取的具体应对措施及风险管理工具，所需的组织领导, 所需投入的条件和资源，所涉及的管理制度流程及关键控制点等。6.3.3 建立完善内部控制系统风险监控及报告6.4.1 公司各职能部门和各单位应根据制定的风险监控指标和风险控制预警线，有序开展日常监控。同时，应每半年开展一次对重大、重要风险管理策略及解决方案执行情况的自查，总结风险管控效果，撰写风险监控报告报送风险管理部门。当影响公司的风险发生重大变化或产生实质性损失事件时，相关部门和单位应在5 日内撰写风险监控报告报送上一级风险管理部门。公司风险管理部门形成公司风险监控报告报公司主管

19、领导。6.4.2 公司建立日常风险信息通报机制。各单位和部门结合年度工作会议、预算计划会议以及月度、季度经营活动分析会议等例行工作机制，建立适时风险分析、提示、报告和通报机制，确保与重大风险管控相关的信息和报告能及时送达到公司决策层和经营层，不断建立完善公司重大风险动态监控和报告机制。6.4.3 公司建立风险管理年度报告机制。每年 1-4 月份，公司风险管理主管部门组织编制企业年度全面风险管理报告。公司及各单位应全面总结上一年度全面风险管理与内部控制工作完成情况、本年度开展风险评估、制定风险管理策略和解决方案、建立完善内部控制等工作情况，在此基础上编制本单位全面风险管理报告，经本单位董事会或类

20、似权力 机构审批后，报上一级风险管理主管部门。重大风险事件应对6.5.1 当风险已经发生，任何第一手接触或认知到风险的人员必须向其上一级管理者报告，同时报送风险管理职能部门。6.5.2 公司各项重大、重要风险管理责任部门和单位应建立灵敏高效的应急管理机制，明确风险预警标准，对可能发生的重大、重要风险或突发事件，按照专业管理要求制定应急预案，明确责任人员、规范处置程序，确保重大、重要风险或突发事件得到及时妥善处理，以降低风险损失和影响。对新出现的、缺乏风险应急预案的重大、重要风险，相关部门和单位应立即协调组织人员研究制定应急预案，报公司风险控制与审计委员会审批后实施。监督与改进6.6.1 风险管

21、理与内部控制的监督与改进应以重大决策、重大风险和重要管理及业务流程为重点, 对风险管理初始信息、风险评估、风险管理策略、关键控制活动及风险管理解决方案的实施情况进行监督, 对风险管理和内部控制的有效性进行测试和评价, 根据存在的缺陷和变化趋势加以改进。6.6.2 公司内部审计部门、纪检监察部门、风险管理与内部控制主管部门以及各级业务管理部门和单位应根据各自的职责，对风险管理与内部控制的设计和运行情况执行日常监督，对重大事项实行专项监督，并对发现的重大风险及内部控制缺陷按规定的程序向相关部门报告。6.6.3 公司结合日常监督情况，每年度开展一次内部控制自我评价。6.6.4 公司按照上级监管机构的

22、监管要求，聘请会计师事务所对公司内部控制进行独立审计。公司内部控制与财务报表实行整合审计，但单独出具内部控制 审计报告。6.6.5 公司可以聘请有资质、信誉好、风险管理与内部控制专业能力强的中介机构对全面风险管理与内部控制工作进行评价, 出具全面风险管理报告和内部控制评价报告。为公司提供内部控制审计服务的会计师事务所，不得同时为公司提供内部控制咨询和评价服务。公司或者鞍钢集团公司统一组织中介机构开展对公司年度全面风险管理与内部控制评价工作，各单位未经批准不得单独开展。6.6.6 对公司内部监督、自我评价和外部审计过程中发现的内部控制缺陷，各责任部门和单位应及时采取应对策略实施整改，切实将风险控制在可承受范围之内；内部监督及内部控制评价管理部门对整改情况进行跟踪检查。6.6.7 公司风险管理部门及其他各职能部门、各单位应加强全面风险管理与内部控制相关技术的研究，加强专业技术